Intune 中 iOS/iPadOS 的设备符合性设置

  • 项目

本文列出并介绍了可以在 Intune 中的 iOS/iPadOS 设备上配置的不同符合性设置。 作为移动设备管理 (MDM) 解决方案的一部分,请使用这些设置来要求发送电子邮件、将 rooted (越狱) 设备标记为不合规、设置允许的威胁级别、将密码设置为过期等。

此功能适用于:

  • iOS
  • iPadOS

作为Intune管理员,使用这些符合性设置来帮助保护组织资源。 若要详细了解合规性策略及其用途,请参阅 设备合规性入门

开始之前

Create iOS/iPadOS 设备符合性策略来访问可用设置。

电子邮件

  • 无法在设备上设置电子邮件

    • 未配置 (默认) - 不会评估此设置是否符合性。
    • 必需 - 需要托管电子邮件帐户。 如果用户已在设备上拥有电子邮件帐户,则必须删除电子邮件帐户,以便Intune可以正确设置一个帐户。 如果设备上不存在电子邮件帐户,用户应联系 IT 管理员以配置托管电子邮件帐户。

    在以下情况下,设备被视为不符合要求:

    • 电子邮件配置文件分配给与合规性策略所面向的用户组不同的用户组。
    • 用户已在设备上设置了一个与部署到设备的Intune电子邮件配置文件匹配的电子邮件帐户。 Intune无法覆盖用户配置的配置文件,并且Intune无法对其进行管理。 为了符合要求,最终用户必须删除现有电子邮件设置。 然后,Intune可以安装托管电子邮件配置文件。

有关电子邮件配置文件的详细信息,请参阅使用电子邮件配置文件配置对组织电子邮件的访问Intune

设备运行状况

  • 已破解的设备
    支持 iOS 8.0 及更高版本

    • 未配置 (默认) - 不会评估此设置是否符合性。
    • 阻止 - 将已越狱 () 设备标记为不符合。

  • 要求设备不高于设备威胁级别
    支持 iOS 8.0 及更高版本

    使用此设置将风险评估作为符合性的条件。 选择允许的威胁级别:

    • 未配置 (默认) - 不会评估此设置是否符合性。
    • 安全 - 此选项是最安全的,意味着设备不能有任何威胁。 如果检测到设备存在任何级别的威胁,则会将其评估为不合规。
    • - 如果仅存在低级别威胁,则设备被评估为符合性。 如果高于,则设备处于不合规状态。
    • - 如果设备上存在的威胁级别为低级或中等级别,则设备被评估为符合性。 如果检测到设备存在高级威胁,则确定该设备不符合要求。
    • - 此选项是最不安全的,因为它允许所有威胁级别。 如果仅将此解决方案用于报告目的,则它可能很有用。

设备属性

操作系统版本

  • 最低操作系统版本
    支持 iOS 8.0 及更高版本

    如果设备不符合最低 OS 版本要求,则会将其报告为不符合要求。 将显示一个链接,其中包含有关如何升级的信息。 最终用户可以选择升级其设备。 之后,他们可以访问组织资源。

  • 最高操作系统版本
    支持 iOS 8.0 及更高版本

    当设备使用的 OS 版本高于规则中的版本时,将阻止对组织资源的访问。 要求最终用户联系其 IT 管理员。 在规则更改以允许 OS 版本之前,设备无法访问组织资源。

  • 最低操作系统内部版本
    支持 iOS 8.0 及更高版本

    当 Apple 发布安全更新时,内部版本号通常会更新,而不是操作系统版本。 使用此功能指定设备上允许的最小内部版本号。 对于 Apple 快速安全响应更新,请输入补充内部版本,例如 20E772520a

  • 最大 OS 内部版本
    支持 iOS 8.0 及更高版本

    当 Apple 发布安全更新时,内部版本号通常会更新,而不是操作系统版本。 使用此功能输入设备上允许的最大内部版本号。 对于 Apple 快速安全响应更新,请输入补充内部版本,例如 20E772520a

Microsoft Defender for Endpoint

  • 要求设备不超过计算机风险评分

    为Microsoft Defender for Endpoint评估的设备选择允许的最大计算机风险分数。 超过此分数的设备将被标记为不符合。

    • 未配置 (默认)
    • Clear
    • High

系统安全

Password

注意

将符合性或配置策略应用于 iOS/iPadOS 设备后,系统会提示用户每 15 分钟设置一次密码。 在设置密码之前,系统会不断提示用户。 为 iOS/iPadOS 设备设置密码后,加密过程会自动启动。 在禁用密码之前,设备将保持加密状态。

  • 需要密码才可解锁移动设备

    • 未配置 (默认) - 不会评估此设置是否符合性。
    • 需要 - 用户必须输入密码才能访问其设备。 使用密码的 iOS/iPadOS 设备已加密。

  • 简单密码
    支持 iOS 8.0 及更高版本

    • 未配置 (默认) - 用户可以创建简单密码,例如 12341111
    • 阻止 - 用户无法创建简单密码,例如 12341111

  • 最短密码长度
    支持 iOS 8.0 及更高版本

    输入密码必须具有的最小位数或字符数。

  • 所需密码类型
    支持 iOS 8.0 及更高版本

    选择密码是否应仅包含 数字 字符,或者是否应混合使用数字和其他字符 (字母数字) 。

  • 密码中的非字母数字字符数
    输入密码中必须包含的最小特殊字符数,例如 &#%!、 等。

    设置更高的数字需要用户创建更复杂的密码。

  • 屏幕锁定后要求输入密码前的最大分钟数
    支持 iOS 8.0 及更高版本

    指定屏幕锁定后,用户必须输入密码才能访问设备。 选项包括默认值 “未配置”、“ 立即”和 “1 分钟4 小时”。

  • 最长经过多少分钟的非活动状态后锁定屏幕
    输入设备锁定屏幕之前的空闲时间。 选项包括默认值 “未配置”、“ 立即”和 “1 分钟15 分钟”。

  • 密码过期(天数)
    支持 iOS 8.0 及更高版本

    选择密码过期前的天数,并且必须创建一个新密码。

  • 阻止重用的曾用密码数
    支持 iOS 8.0 及更高版本

    输入以前使用过的不能使用的密码数。

设备安全性

  • 受限应用
    可以通过将应用捆绑 ID 添加到策略来限制应用。 如果设备已安装应用,则设备将标记为不符合。

    注意

    “受限应用”设置适用于在管理上下文外部安装的非托管应用程序。

后续步骤